Закрывать ли пароль звездочками?

В инсталляторе Anakonda последней альфа-версии Linux-дистрибутива Fedora 19 разработчики внедрили новую функцию: теперь в окошке ввода пароля, которое находится в фокусе, пароль не закрывается звёздочками во время набора, а отображается на экране открытым текстом. Если поле фокуса убрать, тогда пароль закрывается звёздочками.

Это не баг, а именно функция, которую разработчики специально внедрили в интерфейс для повышения удобства.

Некоторые специалисты по безопасности считают, что закрывать пароли звёздочками не имеет смысла, потому что злоумышленник может смотреть не на экран, а на клавиатуру в процессе ввода пароля. То есть закрытие пароля звёздочками во время набора не повышает безопасность, а только снижает удобство использования интерфейса, порождая проблемы с неправильной раскладкой клваиатуры, нажатым CapsLock и т.д.

Схема с отказом от закрытия пароля звёздочками якобы всё чаще используется в современных интерфейсах. Такой совет разработчикам интерфейсов в 2009 году дал даже известный специалист по ИТ-безопасности Брюс Шнайер. Тот пост в его блоге собрал более 160 комментариев, породив бурную дискуссию. Позже Брюс Шнайер признал, что «вероятно, ошибся». Тем не менее, идея пошла в массы.

Сторонники закрытия пароля звёздочками говорят, что отследить нажатия на клавиатуре зачастую бывает сложнее, чем прочитать пароль на экране. Таким образом, демонстрация секретных символов открытым текстом всё-таки снижает безопасность. Кроме того, поле ввода пароля может оказаться в фокусе случайно, что приведёт к нечаянной демонстрации пароля.

Ваша оценка: Нет Средняя оценка: 3.7 (3 votes)
pomodor

По умолчанию, эти сцаные звездочки должны быть отключены, но надо всегда давать юзеру возможность включать этот режим тогда, когда в нем возникает необходимость (редко, но возникает).

Ваша оценка: Нет Средняя оценка: 4 (2 votes)
comrade

Не сказано о варианте, при котором на экран не выводятся ни символы пароля, ни звёздочки (видно количество введённых символов).
В линуксе, во многих случаях, так и сделано – при вводе пароля курсор просто не двигается.

Ваша оценка: Нет
pomodor

Это плохой вариант. Во-первых, бывают случаи, когда непонятно попал ли по клавише и пропечатался ли символ. Во-вторых, такое поведение является неожиданным для пользователя. Пользователь ожидает звездочки, а получает с виду зависший экран.

Ваша оценка: Нет Средняя оценка: 1 (1 vote)

Мне больше нравится то, как это сделано в мобильных ОС -- последний символ пароля виден, а остальные -- нет. Тогда уже можно, глядя только на экран, увидеть, что что-то ты набрал не так.

Ваша оценка: Нет
pomodor

Да, этот способ удобнее. Но его можно еще улучшить — показывать все символы. Уж на мобильном девайсе-то кто у меня пароль подсмотрит? А если речь о смартфоне, то там самому можно ослепнуть, разглядывая мелкие буковки.

Фича скрытия пароля полезна только для настольных компов, установленных в офисе, причем так, чтобы за юзером еще сидел кто-то и смотрел в затылок.

Ваша оценка: Нет

А как же вариант с удалённым подключением к пользователю? Даже если не в офисе.
Вот заглючило что-то у дядечки или тётечки, звонят они мне, я подключаюсь через TeamViewer или VNC... Они начинают показывать, что там не получается и, если в процессе демонстрации им требуется ввести пароль, я наблюдаю на экране их пароль_на_все_случаи_жизни.
Что касается организации, то не только юзеру, но и особенно администратору, подключившемуся удалённо и запускающему программу "от имени..." с правами админа совсем не прикольно будет после "засвета" менять пароль локального администратора во всём парке машин. Сомнительное удовольствие, в общем. Да и удобство тоже.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Platon

Я бы просто добавил в меню кнопки опционального выбора, чтобы была возможность
1) скрыть набираемые символы звездочками/точками
2) не отображать набираемый пароль
3) показать набираемые символы
4) скрыть набираемый пароль, но озвучить набираемые символы (опция для слабовидящих использующих синтезатор речи и гарнитуру)

3 пункт особенно полезен для ноутбучных клавиатур(у которых часто заедает/залипает отдельные клавиши, случайное соприкосновение с тачпадом может перенести фокус в другое место и т.п.), кроме того есть ситуации, когда сложный и длинный пароль вводишь не ты, а человек, которому ты доверяешь(вспомнилось как моя подруга 12 раз(!) вводила парольную фразу, которую я прислал СМС-кой 18 символов вызвали жесткий когнитивный диссонанс) .

В кедах в настройках профиля можно настроить поле ввода пароля, а в частности:
1) показывать 1 точку для каждого вводимого символа
2) показывать 3 точки для каждого вводимого символа
3) ничего не показывать

Ваша оценка: Нет
Platon

Кстати, с баша:

XXX: Мишаня, дай мне свой логин/пароль, мне там кое-что сделать надо.
YYY: Si6gPw89YJBoh1ap9Gq2
XXX: Ты шизанутый параноик. Зачем такие пароли?
YYY: Это логин.
YYY: Пароль я тебе картинкой ММС-ку пришлю

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Яндекс.Метрика